DNV GL w Polsce

Breadcrumbs

Dzięki ISO 26262 powstają bezpieczniejsze samochody

Kontakt:

Newsletter

Zapisz się

Jesteś zainteresowany wyceną?

Wyślij formularz
UDOSTĘPNIJ:
DRUKUJ:
ISO 26262 DNV GL
Producenci z branży motoryzacyjnej oraz ich dostawcy wkładają wiele wysiłku w zapewnienie bezpieczeństwa i wygody odbiorcom swoich wyrobów.

Firmy a branży motoryzacyjnej tworzą nowe, coraz bardziej zaawansowane systemy i układy, np. automatyczne włączanie świateł samochodowych, inteligentne układy wspomagania jazdy, multimedialne systemy infotainment – wszystko po to, by zwiększyć bezpieczeństwo, przyjemność i komfort prowadzenia samochodu. Jednak awaria jednego z tych systemów może doprowadzić do groźnych sytuacji i narazić na niebezpieczeństwo zarówno osoby znajdującej się wewnątrz pojazdu, jak i poza nim. Odpowiedzią na te wyzwania jest ISO 26262 – norma oparta na IEC 61508, która stała się nowym standardem funkcjonalnym dla przemysłu motoryzacyjnego. Obecnie niemal wszyscy producenci samochodów oczekują od swoich poddostawców stosowania procesów zgodnych z normą ISO 26262 i dostarczania komponentów spełniających jej wymagania.


Wyzwanie: bezpieczeństwo funkcjonalne


W ciągu ostatnich dwudziestu lat znacząco wzrósł stopień złożoności układów elektrycznych i elektronicznych stosowanych w samochodach. Pojazdy wyprodukowane w latach 80. XX wieku były wyposażone w zaledwie kilka elektronicznych modułów sterujących najważniejszymi układami, takimi jak np. układ spalania, układ kierowniczy i jego wspomaganie, kontrola trakcji itp. W nowoczesnych autach elektroniki jest dużo więcej: system hamowania awaryjnego, system wykrywania obiektów w „martwym polu”, adaptacyjne pneumatyczne zawieszenie, systemy multimedialne i inne elementy, dzięki którym podróż jest nie tylko bezpieczniejsza, ale i przyjemniejsza. Ważną rolę odgrywają przy tym nie tylko same urządzenia kontroli i dostosowania funkcjonalności pojazdu, lecz także ich oprogramowanie. Co więcej, systemy te komunikują się ze sobą wymieniając dane zebrane z czujników, informują się o aktualnym stanie roboczym oraz przekazują polecenia do innych układów.

Tak złożona struktura jest podatna na awarie spowodowane uszkodzeniami lub błędami urządzeń i oprogramowania. Każda taka awaria może rodzić zagrożenia. Wyobraźmy sobie, że podczas jazdy autem dochodzi do niespodziewanej aktywacji poduszki powietrznej, spowodowanej błędnym sygnałem z czujnika. Albo: jest noc, jedziemy wąską, krętą drogą, gdy z powodu awarii oprogramowania nagle gasną przednie światła samochodu. Sytuacje takie zagrażają życiu i bezpieczeństwu zarówno osób znajdujących się wewnątrz, jak i na zewnątrz pojazdu. 

Producenci samochodów dążą do wyeliminowania takich przypadków, aby nie mieć na swoim sumieniu czyjegoś życia lub zdrowia. Robią to również ze względów ekonomicznych tj. konieczności wymiany niesprawnych podzespołów, czy aktualizacji wadliwego oprogramowania w ramach akcji serwisowych. Summa summarum bezpieczeństwo powinno być wpisane w funkcjonowanie każdego pojazdu od pierwszego dnia jego eksploatacji. 

Norma ISO 26262 uwzględnia powyższe problemy, obejmując swym zakresem proces projektowania, rozwoju i produkcji wyrobu. Procesy zaprojektowane i realizowane zgodnie z wymaganiami ISO 26262 eliminują niepożądane ryzyko i zagrożenia poprzez ukierunkowanie na funkcjonalne bezpieczeństwo produktu. Współpraca z takimi markami, jak Volvo, VW, Toyota, Tesla, Ford, BMW, Mercedes czy Fiat jest dziś niemal niemożliwa bez Systemu Zarządzania Bezpieczeństwem Funkcjonalnym zgodnego z ISO 26262. Coraz więcej dostawców z Europy, USA i Azji dąży do uzyskania certyfikacji swoich systemów według normy dotyczącej bezpieczeństwa funkcjonalnego.

Rozwiązanie: ISO 26262


Celem normy ISO 26262 jest bezpieczeństwo funkcjonalne. Jego osiągnięciu służy łagodzenie wszystkich nieakceptowanych ryzyk i zagrożeń, poprzez zastosowanie w całym cyklu życia produktu podejścia opartego na ryzyku: od etapu prac koncepcyjnych, poprzez projektowanie i rozwój, po produkcję i eksploatację. 

Główna koncepcja polega na tym, by awaria któregokolwiek z komponentów nie powodowała zagrożenia dla osób znajdujących się wewnątrz lub na zewnątrz pojazdu. Kierowca musi mieć możliwość utrzymania kontroli nad sytuacją. Punktem wyjścia jest identyfikacja ryzyka, natomiast środki jakie zostaną następnie zastosowane i działania jakie zostaną podjęte zależą od klasyfikacji poziomu nienaruszalności bezpieczeństwa ASIL (Automotive Safety Integrity Level) danego komponentu.  

Podzespoły z klasą bezpieczeństwa ASIL A mają najmniejszy wpływ na zdrowie człowieka, w związku z czym wymagają najmniejszego zaangażowania środków ograniczania ryzyka. Dobrym przykładem jest samochodowy odbiornik radiowy – wpływ jego uszkodzenia na bezpieczeństwo jest żaden lub minimalny, a kierowa z łatwością panuje nad sytuacją. Awaria elementów istotniejszych z punktu widzenia bezpieczeństwa (np. układu wspomagania hamowania ABS/ASR/BA) może spowodować zagrożenie zdrowia, a nawet życia. Komponenty o tak krytycznym znaczeniu muszą spełniać wymagania najwyższej klasyfikacji poziomu bezpieczeństwa – ASIL D – co wiąże się z koniecznością szeroko zakrojonego ograniczenia ryzyka, tak aby potencjalna awaria układu nie stała się przyczyną urazów kierowcy, pasażerów, czy pozostałych uczestników ruchu.  

Należy zaznaczyć, że norma ISO 26262 może być stosowana w odniesieniu do komponentów czysto sprzętowych, oprogramowania bez dedykowanego sprzętu, a także produktów łączonych, czyli urządzeń wraz z ich oprogramowaniem.

ISO 26262 w praktyce


Na normę składa się 10 dokumentów. Osiem z nich określa wymagania dotyczące obszaru zarządzania, fazy koncepcyjnej, rozwoju produktu, produkcji, eksploatacji i wsparcia. W zależności od zakresu prac poddostawcy, mogą one zostać zdefiniowane jako procesy dostarczające kompletne podzespoły (np. światła przednie) lub ich pojedyncze komponenty, np. niewielkie elementy urządzeń bądź oprogramowania, czy też kombinacja obydwu (np. moduł oprogramowania odpowiedzialny za wykrywanie zajęcia fotela). 

Wdrożenie procesów bezpieczeństwa funkcjonalnego zgodnych z ISO 26262 można pogodzić z systemami zarządzania już istniejącymi w organizacji. System zarządzania bezpieczeństwem funkcjonalnym może być częścią systemu zarządzania jakością (ISO 9001, ISO/TS 16949 lub innego) oraz wpisać się w stosowane metodologie badań i rozwoju (Waterfall lub Agile). Ponadto, jest on kompatybilny z modelami dojrzałości SPICE lub CMMI i częściowo pokrywa się z nimi. Co ważne, w firmie o wysokim poziomie dojrzałości procesowej, właściwie zaprojektowane i wdrożone procesy ISO 26262 nie generują znaczących dodatkowych kosztów. 

Zaprojektowanie i wdrożenie systemu zarządzania bezpieczeństwem funkcjonalnym (FSMS - Functional Safety Management System) nie różni się istotnie od wdrażania innych systemów zarządzania procesami – np. od systemu zarządzania jakością zgodnego z ISO 9001. Należy wspomnieć o tym, że ISO 26262 wymaga przeanalizowania niezawodności i wiarygodności narzędzi programowych wykorzystywanych w cyklu życia bezpieczeństwa wyrobu. Dzięki temu użytkownik zyskuje pewność, że stosowane oprogramowanie wspierające proces produkcji komponentu nie wprowadzi dodatkowych błędów do produktu. Na przykład, należy sprawdzić, czy kompilator zawsze dostarcza właściwy kod maszynowy oraz czy nie wprowadza żadnych niezamierzonych (dodatkowych) funkcjonalności do programu. Rynek oferuje szereg narzędzi programowych certyfikowanych według normy ISO 26262, dla wszystkich poziomów ASIL – od A do D. 

Systemy zarządzania bezpieczeństwem funkcjonalnym są zwykle analizowane i certyfikowane pod kątem zgodności z wymaganiami ISO 26262. Proces certyfikacji przebiega podobnie do audytów przeprowadzanych w odniesieniu do innych norm. Wybór obszarów procesowych poddawanych badaniu i certyfikacji zależy od zakresu prac, koniecznych do wyprodukowania komponentu. W ramach tzw. analizy luk (gap analysis) sprawdzane są procesy techniczne, zarządcze i pomocnicze oraz sposób ich wdrożenia. W jej wyniku identyfikowane są elementy systemu zarządzania bezpieczeństwem funkcjonalnym organizacji, a także jej funkcjonowania, które wymagają korekty. 

Sam komponent może uzyskać certyfikat bezpieczeństwa funkcjonalnego ISO 26262 – norma określa działania weryfikacyjne, jakie należy podjąć w celu ustalenia, czy wyrób spełnia cele i wymagania bezpieczeństwa. Badanie końcowe może przeprowadzić podmiot zewnętrzny, który w stosownym oświadczeniu potwierdzi – podobnie jak w przypadku systemu zarządzania bezpieczeństwem funkcjonalnym – że wyrób spełnia wymagane poziomy bezpieczeństwa. Wydany certyfikat będzie dla klienta dowodem na to, że wyrób nie stanie się źródłem zagrożenia.

Wnioski


Dziesiątki układów elektrycznych i elektronicznych w nowoczesnym samochodzie, częściowa i całkowita autonomia pojazdów, rozwiązania typu V2X (Vehicle to Everything - systemy wymiany informacji między pojazdami oraz pojazdami i infrastrukturą drogową) – wszystko to sprawia, że współczesne samochody są bardziej podatne na awarie, a producenci pojazdów nie ustają w dążeniu do poprawy bezpieczeństwa, które stało się ich bezwzględnym priorytetem. Poddostawcy branży motoryzacyjnej z całego świata albo już produkują wyroby zgodne z wymaganiami ISO 26262, albo są w trakcie dostosowywania swoich procesów do oczekiwań producentów samochodów. Bezpieczeństwo przestało być luksusem. Stało się koniecznością.

Jeśli zainteresował Cię ten artykuł lub masz inne pytania związane z certyfikacją w branży motoryzacyjnej skontaktuj się z nami lub zapytaj o bezpłatną ofertę certyfikacji.